package com.ruoyi.common.utils;

import java.lang.reflect.Field;

/**
 * Created by liliqiang on 2017/9/5.
 */
public class SqlInjectionCheck {

    /**
     * 检查是否存在sql 注入 传入 Model 即可
     * @param c
     * @return
     */
    public static boolean Check(Object c) {

        try {

        Field[] fs = c.getClass().getDeclaredFields();
        for(int i = 0 ; i < fs.length; i++){
            Field f = fs[i];
            f.setAccessible(true); //设置些属性是可以访问的
            Object val = f.get(c);//得到此属性的值
            System.out.println("name:" + f.getName() + "\t value = " + val);

            //todo 验证是否存在sql 注入
            if (sqlValidate(val + "")) {
                return true;
            }

        }

        } catch (Exception e) {
            e.printStackTrace();
            return true;
        }


        return false;
    }

    //效验
    private static boolean sqlValidate(String str) {
        str = str.toLowerCase();//统一转为小写
        //todo 这里 验证 去掉了  ' |-  时间分页 会出现sql 检查不通过现象'
        String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|" +
                "char|declare|sitename|net user|xp_cmdshell|;|or|+|like'|and|exec|execute|insert|create|drop|" +
                "table|from|grant|use|group_concat|column_name|" +
                "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" +
                "chr|mid|master|truncate|char|declare|or|;|--|+|like|//|/|%|#";     //过滤掉的sql关键字，可以手动添加
        String[] badStrs = badStr.split("\\|");
        for (int i = 0; i < badStrs.length; i++) {
            if (str.indexOf(badStrs[i]) >= 0) {
                return true;
            }
        }
        return false;
    }


}
